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Beth yw'r Rheoliad Diogelu Data Cyffredinol 


Mae'r Rheoliad Diogelu Data Cyffredinol (y Rheoliad) yn gyfraith newydd a fydd yn 
disodli'r Ddeddf Diogelu Data bresennol. Bydd rhaid i bob sefydliad ym mhob sector sy'n 
prosesu data personol gydymffurfio â'r Rheoliad - dyw hi ddim yn rhywbeth 'braf i'w 
gael', mae'n gyfrifoldeb cyfreithiol sylfaenol ar bob elusen i sicrhau bod y polisïau a'r 
gweithdrefnau cywir ganddynt yn eu lle er mwyn iddynt allu dangos eu bod nhw'n cael 
eu rhedeg yn briodol a'u bod nhw'n cymryd hawliau unigolion o ddifrif. 


Pryd mae'r Rheoliad yn gymwys? 


Daw'r Rheoliad i rym ar 25 Mai 2018. Mae Llywodraeth y DU hefyd yn deddfu i sicrhau 
bod y Rheoliad yn troi'n gyfraith cyn bod y DU yn gadael yr Undeb Ewropeaidd. 


Ond peidiwch â dychryn - mae deddfwriaeth diogelu data wedi bod yma ers 
blynyddoedd ac mae'r Rheoliad yn ddiweddariad o'r gofynion sy'n bodoli yn hytrach na 
rhywbeth hollol newydd sbon. Mae'r Comisiynydd Gwybodaeth wedi pwysleisio y dylid 
gweld cydymffurfio â'r Rheoliad yn daith sy'n gofyn am ymdrech barhaus yn hytrach na 
ras sy'n dod i ben ar 25 Mai 2018. Er y bydd Swyddfa'r Comisiynydd Gwybodaeth (ICO) 
yn rheoleiddio yn erbyn y Rheoliad o'r dyddiad hwn, mae'r Comisiynydd yn glir "y gall y 
rhai sy'n hunanadrodd, sy'n ymgysylltu â Swyddfa'r Comisiynydd Gwybodaeth i ddatrys 
materion ac sy'n gallu dangos bod trefniadau atebolrwydd effeithiol ganddynt yn eu lle 
ddisgwyl i hyn gael ei gyfrif pan fyddwn yn ystyried unrhyw weithredu rheoleiddiol." 


Diffiniadau allweddol 


Data personol: unrhyw wybodaeth sy'n ymwneud ag unigolyn byw y gellir ei adnabod 
yn uniongyrchol neu'n anuniongyrchol o'r data. Mae hyn yn cynnwys enw, cyfeiriad, 
manylion cyswllt ond gallai hefyd gynnwys dwy neu ragor o ddarnau o wybodaeth 
amhenodol a allai, o'u cyfuno, enwi unigolion penodol gan gynnwys, er enghraifft, 
cyfuniad o ryw, dyddiad geni, dangosydd daearyddol a disgrifwyr eraill. 


Catgorïau arbennig o ddata personol: data sy'n ymwneud â thras hiliol neu ethnig, 
safbwyntiau gwleidyddol, credoau crefyddol neu athronyddol, aelodaeth o undeb llafur, 
gwybodaeth genetig a biometrig, iechyd a bywyd rhywiol neu gyfeiriadedd rhywiol bod 
dynol. 
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www.ico.org.uk 


| gael rhagor o wybodaeth 
ar bob sail gyfreithlon 


Rheolydd data: mae rheolydd yn pennu dibenion a dulliau prosesu data personol - bydd 
sefydliadau yn 'rheolyddion data' (e.e. elusennau, banciau, cwmnïau) pan fyddant yn dal 
ac yn defnyddio data cwsmeriaid a chleientiaid. 


Prosesu data personol: mae'n golygu gwneud rhywbeth gyda data personol - mae hyn 
yn cynnwys cadw cofnodion, defnyddio data ar gyfer marchnata uniongyrchol, cyflawni 
rhwymedigaeth gytundebol ymysg pethau eraill. Mae diffiniad llawnach o "ddata 


personol" i'w weld yn https://ico.org.uk/ 

Beth mae hyn yn ei olygu i elusennau a chodi arian elusennol? 

Bydd elusennau yn 'rheolyddion data' mewn sawl ffordd, gan gynnwys: 

— Fel cyflogwr sy'n prosesu data personol gweithwyr, ymddiriedolwyr a gwirfoddolwyr. 
— _ Fel darparwr gwasanaethau wedi'u personoli i fuddiolwyr a chleientiaid. 

— Fel sefydliad codi arian neu ymgyrchu sydd â rhoddwyr a chefnogwyr. 


Gall codwyr arian unigol fod yn rheolyddion data hefyd os ydynt yn gweithredu'n 
annibynnol ar elusen wrth brosesu data (er enghraifft, codwyr arian cymunedol sydd 
efallai'n cadw manylion am gefnogwyr pan fyddant yn ymgymryd ag ymgyrch "er budd" 
elusen ond nid yw'n gweithredu mewn rhinwedd swyddogol ar ran yr elusen honno - 
Gweler Papur Briffio 3 i gael rhagor o fanylion). 


Sut gallwn ni brosesu data personol yn gyfreithlon? 


Nid yw'r Rheoliad yn rhwystro elusennau rhag ymgyrchu, codi arian neu ddarparu 
gwasanaethau i fuddiolwyr. Ond mae'n golygu pan fydd elusen yn gwneud hynny mae'n 
rhaid iddi wneud hynny mewn ffordd deg a chyfreithlon, bod yn dryloyw a pharchu 
hawliau preifatrwydd unigolion. 


Gall elusennau brosesu data personol (e.e. anfon deunyddiau marchnata, cysylltu â 
defnyddwyr gwasanaeth, storio cofnodion gweithwyr), ond rhaid gwneud hyn yn unol â 
'sail gyfreithlon ddilys' a amlinellir yn y Rheoliad. Mae chwe sail ar gael ar gyfer prosesu: 


(a) Cydsyniad: gallwch ddangos bod unigolyn wedi perfformio gweithred gadarnhaol glir 
(megis dweud "ie" i gwestiwn neu dicio blwch optio i mewn) i ganiatâu i chi brosesu 
ei ddata personol ar gyfer diben penodol. 


(b) Contract: mae'r prosesu yn angenrheidiol ar gyfer contract sydd gennych â'r 
unigolyn, neu oherwydd ei fod wedi gofyn i chi gymryd camau penodol cyn arwyddo 
contract. 


(c) Rhwymedigaeth gyfreithiol: mae'r prosesu yn angenrheidiol er mwyn i chi 
gydymffurfio â'r gyfraith (heb gynnwys rhwymedigaethau cytundebol). 


(d) Buddiannau hanfodol: mae'r prosesu yn angenrheidiol i ddiogelu bywyd rhywun. 


(e) Tasg gyhoeddus: mae'r prosesu yn angenrheidiol er mwyn i chi gyflawni tasg er 
budd cyhoeddus neu ar gyfer eich dyletswydd swyddogol, ac mae sail glir i'r dasg 
neu'r ddyletswydd o dan y gyfraith. 


(f) Buddiannau cyfreithlon: Mae'r prosesu yn angenrheidiol ar gyfer eich buddiannau 
cyfreithlon neu fuddiannau cyfreithlon trydydd parti oni bai bod buddiannau neu 
hawliau neu ryddid yr unigolyn yn bwysicach na'r buddiannau hynny. (Ni all hyn fod 
yn gymwys os ydych yn awdurdod cyhoeddus sy'n prosesu data i gyflawni eich 
tasgau swyddogol). 
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Hawliau unigolion o dan y Rheoliad 


Yn ogystal ag amlinellu'r seiliau gwahanol ar gyfer gallu prosesu data personol, mae'r 
Rheoliad hefyd yn cynnwys nifer o hawliau ar gyfer unigolion y mae angen i elusennau 
eu cydnabod a gweithredu arnynt. 


- _ Yr hawl i gael eich hysbysu 

- _ Yr hawl i gael mynediad 

- _ Yr hawl i unioni cam 

- _ Yr hawl i ddileu 

- _ Yr hawl i gyfyngu prosesu 

- _ Yr hawl i gludadwyedd data 

- _ Yr hawl i wrthwynebu (gan gynnwys gwrthwynebu marchnata uniongyrchol) 
- Hawliau o ran gwneud penderfyniad awtomatig a phroffilio. 


I gael rhagor o wybodaeth ar hawliau unigol ewch i: 


https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data- 


protection-regulation-gdpr/individual-rights/ 


Beth arall y mae angen i elusennau ei wybod? 


Mae atebolrwydd a llywodraethu yn egwyddorion pwysig o'r Rheoliad. Mae hyn yn 
golygu bod dyletswydd gyffredinol gan elusennau i ddangos eu bod yn cydymffurfio â 
gofynion y Rheoliad. Bydd rhaid i bob elusen roi mesurau llywodraethu cymesur yn eu 
lle, gan gynnwys adolygu a chymeradwyo polisïau mewnol, dogfennu gweithgareddau, 
cadw cofnodion o brosesu data, a chynnal asesiadau effaith diogelu data pan fydd 
angen. 


Ceir gofynion hefyd ynghylch diogelwch data a throsglwyddiadau rhyngwladol, a'r 
ddyletswydd i hysbysu'r ICO o fewn 72 awr (gan gynnwys ar y penwythnos neu'r tu allan 
i oriau gwaith) os yw'r rheoliad data wedi cael ei dorri. Mewn rhai achosion, bydd rhaid i 
chi hysbysu gwrthrych y data hefyd. Mae'r risgiau o fethu â chydymffurfio yn cynnwys 
dirwyon, risg i enw da, ac unigolion yn dwyn achos cyfreithiol felly mae'n bwysig ei chael 
hi'n iawn! 


I gael rhagor o wybodaeth am eich holl ddyletswyddau a chamau gweithredu posibl 
ewch i www.ico.org.uk 


Hefyd - peidiwch ag anghofio bod rhaid i elusennau ddilyn y Cod Ymarfer Codi Arian ar 
gyfer y safonau sy'n ofynnol pan fydd elusennau yn codi arian a osodwyd gan y 
Rheoleiddiwr Codi Arian. Bydd hyn yn cynnwys rhannau perthnasol o'r Rheoliad, ond 
hefyd y gofynion pellach y mae'n rhaid i elusennau eu dilyn yn eu gweithgareddau codi 
arian. 
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Rhestr wirio ar gyfer elusennau: 


— _ Ydych chi'n gwybod beth yw gofynion y Rheoliad ac ydych chi wedi ystyried beth 
mae hyn yn ei olygu ar gyfer eich elusen chi a'r data personol rydych yn ei brosesu? 


— _ Ydych chi wedi cynnal adolygiad neu archwiliad o'r data sydd gennych ar hyn o 
bryd, eich polisïau a'ch gweithdrefnau? Beth sy'n rhaid i chi ei ddiweddaru neu ei 
newid? 


— _ Ydych chi wedi ystyried y sail gyfreithlon y byddwch yn ei defnyddio ar gyfer 
dibenion prosesu data gwahanol ac ydych chi'n deall sut i ddefnyddio pob sail mewn 
ffordd deg? 


— _ Ydych chi'n ymwybodol o hawliau unigolion ac a fyddech chi'n gallu ymateb yn 
briodol i unrhyw geisiadau a gewch ganddynt ynghylch eu data personol? 


— _ Ydych chi wedi meddwl am yr holl fathau gwahanol o brosesu y mae'ch elusen yn 
ymgymryd ag ef (er enghraifft, gwirfoddoli, ymgyrchu, codi arian) ac ydych chi wedi 
mabwysiadu dull gweithredu ar gyfer y sefydliad cyfan? 


— _ Ydy'ch system a chronfa ddata Rheoli Cysylltiadau Cwsmeriaid yn gallu cadw data 
mewn modd priodol a diogel? 


— _ Ydych chi'n atebol - oes polisi diogelu data gennych chi yn ei le ac ydych chi'n 
dogfennu penderfyniadau, ac yn hyfforddi staff? 


Cyfeirio ac ICO 


adnoddau: Canllaw i'r rheoliad diogelu data cyffredinol 


https://ico.org.uk/for-organisations/guide-to-the-general-data-protection- 
regulation-gdpr/ 


Y Rheoleiddiwr Codi Arian 

Cod Ymarfer Codi Arian 
https://www.fundraisingregulator.org.uk/code 
CloF 


Y Rheoliad Diogelu Data Cyffredinol: Yr Hanfodion ar gyfer Sefydliadau 
Codi Arian 


https://ciof.org.uk/events-and-training/resources/gdpr-the-essentials 


Cefnogwyd gan: 


° Legal 
Zoa) CHARITY COMMISSION n Charity Fundraising A 5 NCO 
GIP oW. Commission Standards, 


for Northem Ireland 
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